La scène aurait très bien pu être tirée d’un film d’horreur des années 80. Une enfant, seule dans sa chambre, demande à haute voix le vide : qui es-tu ? Le vide lui dit apparemment : je suis son meilleur ami, je suis le Père Noël. Visiblement tendu, l’enfant crie pour sa mère, dans laquelle la voix répond : je suis le père Noël, tu ne veux pas être mon meilleur ami ? Et ça continue : vous pouvez salir votre chambre. Vous pouvez casser votre télévision. Vous pouvez faire ce que vous voulez. Mais ce n’est pas une scène de film d’horreur ou de science-fiction.
Le récit ci-dessus est quelque chose qui s’est réellement passé, en décembre 2019, dans la maison d’une famille dans laquelle la mère avait vu un appareil photo, l’avait trouvé cool, acheté et installé, sans prendre aucun soin supplémentaire. Et l’explication de ce qui s’est passé devient déjà prosaïque… un hacker a pénétré dans un appareil connecté à Internet, en l’occurrence une caméra de sécurité Smart Ring, et a décidé de clouer la pièce à la fille qui, heureusement, a appelé sa mère.
L’Internet des objets (ou IdO ? Internet des objets), comprend tous les appareils électroniques qui utilisent le réseau pour communiquer entre eux ou avec des services et/ou des utilisateurs. En bref, tout ce qui est connecté à l’internet et qui n’est pas un élément d’infrastructure*, ni un ordinateur, ni une tablette, ni un smartphone. Et c’est un monde d’appareils électroniques.
Alors qu’en 2019, le trio ordinateur/tablette/smartphone totalisait un peu moins de sept milliards de combinés dans le monde, l’IdO compte plus de 26 milliards de combinés actifs (connectés) et devrait dépasser les 30 milliards d’ici la fin de cette année (2020).
Et puis ça commence à devenir moche ;
Selon le rapport de Norton LifeLock Cyber Safety Insights (2018), au moins un tiers des franchisés (34 %) ne savent même pas que leurs dispositifs IdO peuvent être attaqués par des acteurs malveillants. Et cela ? les attaques ? peuvent se produire pour des raisons très diverses, comme l’inattention, la négligence ou le manque de soin des fabricants.
Certaines startups, même si elles fonctionnent de manière très maigre et sont pressées de lancer leur produit rapidement, peuvent ne pas avoir le soin nécessaire avec les données de leurs clients. Wyze, qui, comme Ring, fabrique également des caméras connectées, a laissé les données – y compris financières – de 2,4 millions de clients dans une base de données non cryptée et non protégée
Mais ce genre de pratique n’est pas réservé aux seules petites entreprises en démarrage. Il y a quelque temps, un grand réseau social a fait quelque chose de très similaire aux données d’environ 600 millions d’utilisateurs. Facebook a stocké des centaines de millions de mots de passe d’utilisateurs en texte clair.
Un autre point est l’utilisation de codes ou de morceaux de codes provenant de tiers, qui présentent des défauts qui ne sont identifiés qu’une fois que l’appareil est déjà sur le marché. Et comme la mise à jour de certains de ces appareils est un peu plus compliquée et risquée, puisqu’une défaillance dans le processus peut rendre l’appareil inutilisable, certaines entreprises préfèrent ignorer le problème autant que possible.
Il existe un type de système d’exploitation, par exemple, qui est appelé “embarqué”. Il s’agit de systèmes opérationnels “plumés” au maximum, ne conservant que ce qui est essentiel au fonctionnement de l’appareil. Cela permet d’utiliser moins d’espace de stockage, moins de traitement et de faire en sorte que l’appareil consomme moins d’énergie et dure plus longtemps avec une seule charge de batterie.
Le Kindle est un bon exemple, il utilise une version extrêmement allégée de Linux de sorte qu’il ne fonctionne que ce qui est nécessaire. L’un des systèmes embarqués les plus anciens et les plus populaires au monde est appelé VxWorks, utilisé dans des appareils allant des micro-ondes aux sondes spatiales (que le Mar Rover utilise), en passant par les machines à résonance magnétique, les voitures et les avions.
VxWorks a survécu pendant 32 ans en utilisant ce que l’on appelle la “sécurité par l’obscurité”. C’est-à-dire qu’il était sécurisé car il n’existait que dans sa version compilée pour la lecture machine, avec le code source stocké sous sept clés. Jusqu’au jour où quelqu’un a réussi à inverser la compilation, à lire le code source et à trouver une faille dans la partie qui traite des données provenant du réseau.
Bien sûr, personne ne mettra en place une station de radio pour attaquer le Mars Rover, mais tout au long de 2019, des attaques sur des machines à résonance ont été détectées dans certains hôpitaux. La chose est si grave que le département américain de la sécurité intérieure (Homeland Security) a lancé un avertissement à ce sujet.
Mais, facile. Il y a pire ;
Il existe au moins un outil relativement populaire – qui a peut-être vu M. Robot en action – appelé shodan.io, qui a pour fonction de rechercher des appareils connectés. Sur son site web, on peut lire : “Les sites web ne sont qu’une partie de l’intention. Il y a des centrales électriques, des téléviseurs intelligents, des refroidisseurs et bien d’autres que l’on peut trouver avec Shodan !?.
En d’autres termes, l’IdO – le monde cybernétique tout entier, d’ailleurs – est entouré de personnes humaines, technologiques et même de personnes qui gagnent de l’argent en créant des outils pour exploiter ces failles. C’est à l’utilisateur de savoir comment se défendre. En réalité, ce n’est même pas difficile, mais cela demande de l’attention et un peu de discipline. Voici donc quelques points à respecter pour garantir la sécurité de vos appareils connectés.
La morale de l’histoire est la suivante : vous seul pouvez garantir votre cybersécurité.
N’oubliez pas d’utiliser un gestionnaire de mots de passe.
* par infrastructure, lire : routeurs, et autres équipements de réseau qui sont sur l’Internet, mais qui ne sont pas considérés comme faisant partie de l’Internet des objets.
